PCI-DSS 4.0 llegará antes de lo que cree, y es una oportunidad para aumentar la resistencia cibernética de su organización.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y requerirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Una versión de este artículo apareció en Bulevar de la Seguridad. Se ha actualizado y sindicado aquí.
A principios de este año, el PCI Security Standards Council presentó la versión 4.0 de su Payment Card Industry Data Security Standard (PCI DSS). Aunque las organizaciones no tendrán que cumplir plenamente la versión 4.0 hasta marzo de 2025, esta actualización es la más transformadora hasta la fecha y exigirá que la mayoría de las empresas evalúen (y probablemente actualicen) procesos de seguridad complejos y elementos de su pila tecnológica. Esto se suma a la implantación de la formación de concienciación sobre seguridad basada en roles y la formación periódica en codificación segura para desarrolladores.
Esto representa una oportunidad de oro para que las empresas del sector BFSI mejoren seriamente sus programas de seguridad, dando paso a una nueva era de ciberresiliencia impulsada por las personas.
¿Cuáles son los mayores retos a la hora de prepararse para PCI DSS 4.0?
Del mismo modo que el programa de seguridad de una organización lo abarca todo, con complejidades que son exclusivas de sus necesidades empresariales y recursos disponibles, las nuevas normas PCI DSS abarcan mucho terreno. Sin embargo, revelan un cambio significativo hacia la flexibilidad en los enfoques para cumplir los requisitos de seguridad, y en un sector en el que las herramientas, las amenazas, la estrategia y las medidas de cumplimiento pueden cambiar en un instante.
PCI DSS 4.0 adopta el concepto de que hay muchas maneras de alcanzar el mismo objetivo de mejores prácticas de seguridad herméticas. Esto es cierto, pero parece más adecuado para organizaciones con una madurez de seguridad avanzada y deja mucho margen para el error, especialmente para aquellas que no han sido realistas en su assessment de su verdadera madurez de seguridad interna. En última instancia, las empresas deben estar preparadas para comprometerse con la seguridad como un proceso continuo y evolutivo, no como un ejercicio de "fijar y olvidar" de una sola vez. Es imprescindible una cultura de seguridad sólida, con un compromiso de toda la organización con la concienciación en materia de seguridad.
Y los que trabajan con herramientas a nivel de código -la cohorte de desarrollo- deben estar capacitados para ofrecer software seguro y conforme a las normas en cualquier entorno empresarial que maneje activos y transacciones digitales.
¿Están preparados sus desarrolladores para ofrecer software conforme?
Los desarrolladores son parte integrante de la consecución de un estado de excelencia en la seguridad del software, y esto es especialmente relevante para algo más que el cumplimiento simbólico de la norma PCI DSS. Es fundamental que los desarrolladores comprendan el panorama más amplio de la norma PCI DSS 4.0 en términos de lo que pueden controlar e integrar como parte de su enfoque predeterminado para la creación de software.
Tres áreas clave representan los cambios más relevantes para el equipo de desarrollo, y pueden desglosarse del siguiente modo:
- Autenticación: Un plan viable para el control de acceso siempre ha sido una parte clave del cumplimiento de la PCI, sin embargo, la versión 4.0 eleva este aspecto de una manera que requerirá una cuidadosa implementación tanto interna como externa. La autenticación multifactor (MFA) se convertirá en estándar, al igual que las normas reforzadas sobre la complejidad de las contraseñas y los tiempos de espera.
Dado que los problemas de seguridad en la autenticación y el control de acceso son ahora los más comunes a los que se enfrenta el desarrollador medio, es imperativo que se imparta una formación de precisión para ayudarle a identificar y solucionar estos problemas en el código real. - Cifrado y gestión de claves: Operamos en un mundo en el que podemos acceder a parte de nuestra información más sensible a través de múltiples puntos de acceso, como nuestra banca en línea. Con estos datos de gran valor en peligro, el cifrado y unas prácticas de criptografía sólidas son imprescindibles. Los desarrolladores tienen que asegurarse de que disponen de conocimientos actualizados sobre dónde se transmite la información, cómo pueden acceder a ella los usuarios e, incluso en el caso de que acabe en las manos equivocadas, garantizar que sea ilegible para los actores de amenazas.
- Software malicioso: en las directrices anteriores, los controles de seguridad en torno a la protección del software contra códigos maliciosos se denominaban "software antivirus", pero esto simplifica en exceso lo que debería ser un planteamiento a varios niveles que proteja contra mucho más que los virus por sí solos. Las soluciones antimalware deben aplicarse siempre que sea necesario, y el registro y la supervisión continuos son obligatorios.
También es vital que los desarrolladores tengan vías de aprendizaje que cubran la identificación de componentes vulnerables, especialmente con la mayoría de las bases de código que dependen, al menos en parte, de código de terceros.
¿Qué constituye "suficiente" formación para los desarrolladores?
Al igual que las recomendaciones anteriores, la norma PCI DSS 4.0 propone que los desarrolladores reciban formación "al menos" una vez al año. Sin embargo, si la implicación es que una vez al año es suficiente para la creación de software seguro, no es ni mucho menos adecuada y es poco probable que dé como resultado un software más seguro y conforme.
La formación de los desarrolladores debe comenzar con una formación básica sobre las 10 principales vulnerabilidades de OWASP, así como sobre cualquier otra vulnerabilidad que sea relevante para el lenguaje y crítica para la empresa. Esto debería formar parte de un programa continuo, con el fin de seguir desarrollando esas habilidades e integrar la seguridad no sólo en el desarrollo de software desde el principio, sino también en su mentalidad y en el enfoque de su función. Además, las funciones y responsabilidades deben estar muy claras para la cohorte de desarrollo y sus responsables. La seguridad debe ser una responsabilidad compartida, pero es justo documentar las expectativas y asegurarse de que pueden cumplirse adecuadamente.
Con el tiempo de antelación disponible para prepararse para el cumplimiento de la norma PCI DSS 4.0, es posible realizar algunos avances significativos en las mejoras de la cultura de seguridad en toda la organización, y eso es terreno fértil para hacer crecer la cohorte de desarrollo más concienciada con la seguridad que jamás haya tenido.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación sobre código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al cambiante panorama del desarrollo de software teniendo en cuenta su función. Temas que cubren todo, desde IA a XQuery Injection, ofrecidos para una variedad de roles desde Arquitectos e Ingenieros a Product Managers y QA. Eche un vistazo a lo que ofrece nuestro catálogo de contenidos por tema y función.
Búsqueda: Aprendizaje líder en la industria para mantener a los desarrolladores por delante mitigando el riesgo.
Quests es una learning platform que ayuda a los desarrolladores a mitigar los riesgos de seguridad del software mediante la mejora de sus habilidades de codificación segura. Con rutas de aprendizaje curadas, desafíos prácticos y actividades interactivas, capacita a los desarrolladores para identificar y prevenir vulnerabilidades.
La potencia de OpenText Fortify + Secure Code Warrior
OpenText Fortify y Secure Code Warrior unen sus fuerzas para ayudar a las empresas a reducir riesgos, transformar a los desarrolladores en campeones de la seguridad y fomentar la confianza de los clientes. Más información aquí.
Recursos para empezar
Inyección indirecta y riesgos de seguridad de las herramientas de codificación agéntica
Cómo se engañó a un agente de codificación para que escribiera código propenso a inyecciones SQL, instalara herramientas de shell y tal vez incluso acechara a su usuario.
La Década de los Defensores: Secure Code Warrior Cumple Diez Años
Secure Code Warriorha permanecido unido, dirigiendo el barco a través de cada lección, triunfo y contratiempo durante toda una década. Estamos creciendo y listos para afrontar nuestro próximo capítulo, SCW 2.0, como líderes en gestión de riesgos para desarrolladores.
10 predicciones clave: Secure Code Warrior sobre la influencia de la IA y el diseño seguro en 2025
Las organizaciones se enfrentan a decisiones difíciles sobre el uso de la IA para apoyar la productividad a largo plazo, la sostenibilidad y el retorno de la inversión en seguridad. En los últimos años nos ha quedado claro que la IA nunca sustituirá por completo el papel del desarrollador. Desde las asociaciones entre IA y desarrolladores hasta las crecientes presiones (y confusión) en torno a las expectativas de seguridad por diseño, echemos un vistazo más de cerca a lo que podemos esperar durante el próximo año.
Codificación orientada al desarrollador.
Con seguridad.
Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.
